Из-за бага в платежах сайт Overstock путал биткоин и Bitcoin Cash
Фото navator.io
На сайте ритейлера Overstock.com был обнаружен баг с криптовалютными платежами, с помощью которого гипотетический злоумышленник мог делать деньги прямо из воздуха, просто отменяя заказы, сделанные в онлайн-магазине. Об этом пишет CoinDesk.
На прошлой неделе американская компания Bancsec, занимающаяся банковской безопасностью, проинформировала журналиста Брайана Кребса о том, что Overstock.com при оплате продукта ошибочно принимает Bitcoin Cash вместо обычного биткоина.
Чтобы проверить уязвимость, Кребс заказал на Overstock.com датчик движения со световыми сигналами за 78 долларов и выбрал вариант оплаты биткоином.
«Залогинившись в Coinbase, я взял адрес биткоина и вставил его в поле "заплатить с помощью:", а затем велел Coinbase отправить 0.00475574 Bitcoin Cash вместо биткоина», – пишет Кребс на своем сайте. Благодаря этой ошибке специалист по безопасности сумел купить товар за 78 долларов, отправив Bitcoin Cash стоимостью всего 12 долларов.
По данным Bancsec, сайт Overstock одобрил эту транзакцию. Но еще более серьезный ущерб могло принести то, что возврат денег тоже обрабатывался сайтом Overstock в биткоинах.
В данный момент один биткоин оценивается примерно в 14 тысяч долларов, а его форк Bitcoin Cash стоит около 2,4 тысяч долларов. Таким образом, злоумышленник мог генерировать огромные суммы, просто отменяя в Overstock заказы на дорогостоящие товары.
Кребс пишет: «Представители Overstock.com были доступны для комментариев и сказали, что код сайта изменен не был, а проблема решилась с помощью исправления, сделанного [платежным партнером] Coinbase».
Позднее представители Coinbase сообщили, что проблема возникла из-за того, что «торговый партнер неправильно использует возвращаемые значения в API для интеграции торговых операций», а другие клиенты Coinbase о подобных проблемах не сообщали. Они также добавили, что проблема существует уже около трех недель.
Кребс и Bancsec пытались найти этот баг на сайтах других ритейлеров, «у которых процесс оформления заказов работает напрямую с Coinbase», но «других примеров этого дефекта» так и не нашли.